なぜ「がんばりすぎない」が大切なのか？

このマガジン（メールマガジン）のタイトルは「がんばりすぎないセキュリティ」です。

では、どうして「がんばりすぎない」なのでしょうか？

筆者は何度となくこのテーマについて書いてきたつもりでしたが、リストを見直してみますと、2018年5月に に一度書いたきりでした。（あまりに古いので、note.comにも投稿していません）

今回は、改めて「がんばりすぎない」大切さについてお話をします。


1. どうして「がんばりすぎない」なのか？

この理由はとても単純です。

セキュリティ対策って、歯を食いしばって頑張らなくてもいいですよ、がんばりすぎなくても、できることはたくさんありますよ、ということをお伝えしたいからです。

セキュリティ対策というと、どうしても難しいもの、自分達では理解できないもの、という印象が強くなりがちです。

人はわからないことがあると、権威に頼ろうとします。
いきおい、高価な監視用機器やソフトウェアを買えば何とかなるんじゃないか？となりがちです。

でも、もっと大切で、もっと簡単にできることがあります。
お金を使わなくても、一部の人だけが頑張らなくても、できるセキュリティ対策というのは、意外なほど転がっています。

今回は、そんな「がんばりすぎない」ための工夫をいくつかお伝えします。


2. セキュリティ事故の原因の多くは「ヒト」

セキュリティ事故というと、一般にはサイバー攻撃と呼ばれる、外部の犯罪者（ハッカー）による攻撃をイメージします。

ですが、実際には、外部からの攻撃はセキュリティインシデント（事故、事件）のほんの一部に過ぎません。

多くのセキュリティ事故は実は「自滅パターン」によるものなのです。

少々古い情報ですが、JNSAという非営利団体が2018年に発表した資料には、実に70％近くが、組織内のミスや思い違いによるという統計が載っています。

その内訳は、メールの送付先を間違った、ホームページ（Webページ）の設定を間違いで内部情報を公開した、電車に置き忘れたパソコンが盗まれた、USBメモリを紛失した、などなどといかにも「あるある」な話ばかりです。

一方で、外部からの不正アクセスによる被害はわずか20％。

言いかえると、各メンバが十分な知識を身に付けることで事故・事件の70％は防ぐことができるとも言えるわけです。


3. だから、教育が有効

各種のセキュリティ診断では、組織メンバにセキュリティルールをどうやって周知しているかを問う設問が必ずあります。

メンバがルールを遵守していれば、上記の70％の大半を防ぐことができる、という考えが根底にあるからです。

では、どうやってメンバに周知すれば良いのでしょうか？

それは、各メンバにセキュリティ対策の意識を持ってもらうことです。

その端的な方法が教育です。

こういうと、「でも、外部講師を招いて教育するならおカネいるでしょ？」と思われるかもしれませんが、そんなことはありません。

教育といっても、集合教育が全てではありません。
いろんな方法があります。
・資料回覧
　→メンバが参加したセミナー資料の社内回覧
・IT部門による「セキュリティニュース」のメール配信
　→どこかのニュースサイトのリンクでも可
・啓蒙ポスターの掲示、
　→USBメモリの取扱いに注意しましょう、など。
・朝礼でのIT部門からのひとこと

どれも、おカネを使わずにできますよね。
要は、「ウチはセキュリティ対策に本気だよ。みんなもルールを守ってね」と伝え続けることです。

そう、伝え「続ける」ことがとても大切です。
続けるためには、ムリはいけません。息切れしちゃいますから。
だから、「がんばりすぎない」が大事なんです。

もちろん、外部講師を招いての集合教育にも価値はあります。

新しいトラブル事例や対処方法についての知見が得られる、日頃の疑問をぶつけることができる、対策の理由や目的が納得できる、など、深い理解を得ることで、納得感を高められるというメリットがあります。


4. がんばりすぎるのはダメなのか？

がんばるのは大いに結講です。

皆が「もっとちゃんと対策するんだ！」と意欲的なのであれば、ドンドン進めてください。セキュリティ対策は、やればやるほど高いレベルの課題が見えてきます。
組織としてより高度な対策が取れることは喜ばしいことに決まってます。

それでも、筆者は「がんばりすぎ」ることには、敢えて注意を呼びかけたいと思います。

セキュリティ対策には、継続が絶対に必要です。
今年は頑張ったから、来年はお休み、とはいきません。
必要なセキュリティ対策は毎年のように変わっていくからです。

だからといって、無理に頑張ったって、いつか息切れします。

セキュリティ対策というのは、予防策中心ですので、成果が見えにくいものです。

無理をして息切れすると、「ここまで苦労しても何も得られないじゃないか」とネガティブな意見が出てきます。
ですが、ここでやめてしまうと、せっかく時間をかけて積み上げた成果――各メンバのセキュリティ意識、ルールを守る習慣――を失ってしまうのです。
これは、あまりにもったいない話です。

だから、「がんばりすぎない」くらいの対策で良いと筆者は考えるのです。


5. じゃあ、ずっとがんばらなくていいのか？

ここで、大きな疑問が出てきます。

「じゃあ、いつまでも、がんばりすぎないままでホントにいいのか？」
という疑問です。

筆者の答えは「がんばりすぎないでいい。でも継続は必須」です。

最初は、自分達の目線で必要と考えることから着手すればいいのです。
その自分達目線で、ルールや方針を定めてください。

そして、半年や一年を経た後に、メンバにどの程度定着したか？を確認してください。
十分に定着したのであれば、次に取り組むべき施策に向かってください。

ヒトには「慣れる」というスキルがあります。
今はがんばらないとできないことでも、来年になれば、あたり前になっているかもしれません。
その時には、また、その時点の自分達にとって「がんばりすぎない」くらいの施策に取り組めばいいのです。

つまり、がんばりすぎなくてもレベルアップはできます。
ただ、何度も書いているように「続ける」ことは絶対に必要です。


6. まとめ

どうして、このマガジン（メールマガジン）が「がんばりすぎないセキュリティ」なのか？について今回はお話しました。

セキュリティ対策は、継続しなければ、価値が半減します。
無理しなくていいから、できることを愚直に続けるというのは、多くの場面で通じる考え方ではないでしょうか。

筆者自身、このマガジンを８年以上続けていますが、これも「がんばりすぎない」成果だと思っています。

さて、今回は、組織メンバの意識向上を中心に「がんばりすぎない」ことの効用を述べましたが、サイバー攻撃対策の視点での議論が抜け落ちています。
次回はその点にフォーカスした続編を書きます。

次回もお楽しみに

今日からできること：

　・ がんばりすぎない対策なら過剰な負荷になりません。
　・ がんばりすぎないことは手抜きではありません。
　・ セキュリティ対策は続けることが最も大切です。

（本稿は 2025年9月に作成しました）